2010年7月5日星期一

Risk-control Matrix

早前有網友問如何去製作一個Risk-control Matrix,其實RCM有很多款式,內容也很不同,有些很詳細,有些則很簡單。至於要使用那一款,則要視乎用家的目的。

很多時候我們都需要製作RCM,例如進行內部控制審核 (Internal control review),或者風險評估 (Risk assessment),又或者製訂內控流程。

基本而言,RCM應至少包括下列幾項﹕

1)Risk
2)Control (control number, description, key control or not)
3)Assertion (completeness, existence, valuation, authorization, rights & disclosure)
4)Related cycle / processes

例子如下:


另外,製作RCM有兩個方向,一個是Risk-to-control,另一個是Control-to-Risk。顧名思義,Risk-to-control是先定下所有的Risk items,然後就每一個item配上相關的Controls。Control-to-Risk則是先記錄所有的Controls,然後就每一個Control配上相關的Risks。

或許有人會問何時用Risk-to-control,何時則用Control-to-Risk。以我自己的經驗,例如為某個流程進行首次的內控審核時,我通常會以Risk-to-control來編制RCM,這樣的話就能確保所有風險沒有遺漏。又例如進行Compliance review時要為現在的內控做記錄,我則會以Control-to-Risk來編制。

以下的RCM就是以Control-to-Risk來編制,在右手邊加上Testing procedures及Testing result,這就能變成一個Audit program了,既方便又省時。


以上的全只是我的個人經驗,沒有與書本對照過,如有錯漏或補充,歡迎留言指正。

&&&&&&&&

6 則留言:

  1. Several national or international standards related to risk management were shown as follows.
    - AS/NZS 4360:1999
    - AIRMIC, ALARM, IRM: 2002
    - ISO 14971:2007 (for Medical Device)
    - ISO 27005:2008 (for Information Security)
    - BS 31100:2008
    - ISO 31000:2009, etc.

    回覆刪除
  2. Assertion 有時真係唔易分類!
    特別係operation risk 或 compliance risk 上面!
    所以我習慣把assertion放係後少少!

    個人習慣係risk會放係第一行,因為由risk開始再去找相對control 會易d發現有咩control 係miss左。
    另外process個到我都會加入process owner 入去!o甘會易d睇到 segregation of duties 有冇問題。

    回覆刪除
  3. 哇兄,你講既risk會放係第一行既做法,就係我所講既risk-to-control approach. 我做operation review 時經常會用的^^

    回覆刪除

若以匿名留言,系統有機會將留言視為spam,因此可能要遲一點才能回覆。如閣下的提問涉及升學或工作,請以電郵聯絡。謝謝!